财政专网准入、非法外联检查询价采购通知项目编号：HAGGZY-CGX******* 我中心受海安县财政局的委托，对其财政专网准入控制、非法外联检查、客户端管理等项目进行询价采购，特邀请有相关经营资质的供应商参加报价。一、采购项目内容及具体要求：（一）采购范围：包括以下设备的安装、调试及其售后服务等。（二）采购货物名称、数量和要求*．货物名称及数量：序号产品型号功能及配置*网络准入控制系统*套及桌面终端安全管理系统*套网络准入控制系统：支持至少***用户，配置冗余电源；标准配置*个****MBASE-T接口，可配置*个****M光口；每秒事务数（TPS)：****（次/秒），最大吞吐量：*.*Gbps，最大并发连接数：****（条）；支持****点设备准入。包括身份认证模块、访问控制模块、安全检查及智能修复模块、补丁库及规范更新模块、审计模块、违规外联管理模块。桌面终端安全管理系统：包含服务器端授权及***点用户桌面终端授权，包含远程终端管理模块、移动存储介质管理模块、软硬件资产管理模块、终端安全加固模块等桌面软件全模块。本项目预算金额为 ****** 元。*．相关规格、制作及配置要求：以下清单中供应商投标的硬件平台须注明产品的具体型号。网络准入控制系统参照品牌: 中软、盈高、威盾（或相当于）数量：*台 （支持***点终端授权）指标项技术性能详细描述（标有“★”的为关键性指标，必须满足）硬件平台系统组成系统只包含硬件设备+IE浏览器控件*个组成部分，补丁服务器集成在硬件设备中，完全不需要用户再安装除*个基本组件外的任何形式的客户端或软件。基本参数采用标准机架式的硬件设备+linux系统，必须是国内厂商拥有自主产权的产品。除硬件设备外，不需要用户额外提供服务器安装任何形式的软件。★性能标准标准配置双电源；配置至少*个****M BASE-T接口，可配置*个****M光口；每秒事务数（TPS)：≥****（次/秒），最大吞吐量：≥*.*Gbps，最大并发连接数：≥****（条）；支持****点设备准入。包括身份认证模块、访问控制模块、安全检查及智能修复模块、补丁库及规范更新模块、审计模块。部署方式及防单点故障准入设备应至少提供安全客户端（Agent）、安全控件、无客户端等多种可供自定义的部署、管理模式。支持旁路部署和串联方式部署*种方式，支持设备多级级联管理。设备支持HA模式，后台可以进行双机热备的相关配置。准入架构★准入技术*. ***.*x协议支持：准入设备后台必须支持***.*x协议的配置，且不需要网络中另外提供或安装radius服务器，准入设备本身能够作为radius服务器与用户已有网络环境中的***.*x体系及第三方客户端联动实现***.*x准入控制；提供彩色界面截图证明。*. 设备支持基于多厂商Virtual Gateway的VLAN隔离技术，实现无客户端环境下接入层交换机接口级流程化入网控制；提供彩色截图证明。*. 支设备支持基于策略路由技术的准入控制模式，入网设备在访问网内关键资源时，将被强制隔离、引导至认证管理页面，同时支持交换机接口动态VLAN下发、端口隔离模式的网络边界管理;提供彩色界面截图证明。★设备入网定向引导*． 支持终端入网IE重定向引导，当用户访问网页时能自动转向到指定的页面或地址，并支持http代理及多重重定向引导;提供彩色截图证明。*． 可根据用户的实际环境自定义配置非**端口的Web服务端口及重定向用户引导;提供彩色界面截图证明。*． 能通过浏览器完成身份认证、安装控件、设备注册、安全检查、检查结果展现等全流程引导管理;提供彩色界面截图证明。*． 具有Mac OS、Linux、iOS、Android等系统专属客户端，支持认证引导和准入管理;提供彩色界面截图证明。流程架构准入环境搭建完成后，新设备接入网络进行IE浏览器访问时能够自动转向到指定的页面或地址，并在IE页面完成终端注册—入网身份认证—安全检查—安全结果展示—自动修复的完整*步入网流程，上述*步流程不接受任何非浏览器方式的实现；边界管理NAT准入管理★具有NAT识别和检测机制能够自动发现NAT网络所隐藏的真实计算机设备和IP地址，对通过NAT入网的计算机可以实现准入控制、安全评估和修复等流程化管理; 提供彩色界面截图证明。网关边界管理在接入终端产生跨网关访问时，能够自动引导其进行准入管理；来宾管理提供来宾角色选择，能够设定来宾设备的访问权限和入网时长，提供来宾上网码，能够设定来宾设备与受访人员进行一对一绑定并提供绑定报表；能够设定禁止来宾入网。接入审核入网设备自动产生告警，支持以短信及邮件等多种方式提醒管理员；必须经过管理员审核后才能进入网络；认证管理基本认证方式*． 支持准入设备本地用户名密码认证；*． 支持LDAP服务器认证；*． 支持AD域服务器认证；*． 支持邮件服务器认证；*． 支持第三方radius服务器认证。U-key认证*. 在终端上插入u-key，能够实现身份认证并入网；*. 拔除u-key后，终端能够在**秒内自动断网。短信认证*、 能够搭建出短信认证体系，用户在登记入网手机号码后，能够在手机上接收到入网的短信验证码，并在IE页面上利用短信验证码实现身份认证入网。终端安全管理安全检查库提供至少**个安全检查项；无客户端模式基于Agentless无客户端模式，终端设备不安装常驻的客户端代理，安全检查通过ActiveX或Applet控件方式实现，关闭浏览器后控件自动退出； 基本安全检查*. 能够在IE页面检查出终端的杀毒软件情况，支持主流的杀毒软件检查，至少包括趋势和瑞星网络版杀毒软件等，提供设备管理界面截图，支持杀毒软件版本、病毒库和运行情况的检查，能够在IE页面显示出检查结果；*. 在网络中不需要另外提供补丁服务器的情况下，能够在IE页面进行入网终端的补丁检查，补丁均划分为严重、重要、中等的类别，能够在IE页面显示出检查结果；*. 能够在IE页面检查出主流的桌面管理系统客户端是否安装并正常运行，能够在IE页面显示出检查结果。 敏感文件检查*. 能够在IE页面上扫描并检查出包含指定关键字的文件（包括office文档、pdf、jpg等）；*. 能够在扫描到上述包含指定关键字的文件时弹框提示用户，并自动对该文件进行备份或删除操作；能够在准入设备后台查看到敏感文件的检查记录。终端安全加固*. 能够对没有安装杀毒软件的终端通过IE页面自动安装相应的杀毒软件；*. 在不需要网络中另外提供补丁服务器的情况下，能够对检查到未安装补丁的终端通过IE页面自动更新补丁；能够对检查到未安装桌面管理客户端的终端通过IE页面自动安装相应的桌面管理客户端。★违规外联监控模块对非法连接到外网的终端进行阻断和报警。*.能够针对*G拨号、双网卡、随身WIFI、代理等多种违规联网行为做实时检测，不接受间歇性ping外网地址的探测方式。*.能够针对违规外联终端进行即时断网，断网方式应支持断开链接、关闭连接进程、断网后重启恢复、重启计算机等多级模式，并能够实时通知管理员。*.准入设备能够支持按照用户角色定义、限制员工的内网访问范围，防止其越权访问操作。 网络管理★hub管理*. 支持多台计算机通过Hub接入网络时，准入设备后台能够产生Hub接入的报警记录; 提供彩色界面截图证明。*. 准入设备能够采用切换VLAN，逻辑关闭端口等方式禁止Hub接入，Hub下的所有计算机均不能访问网络; 提供彩色界面截图证明。★网络拓扑管理准入设备支持交换机到终端计算机的网络拓扑管理功能，能够自动绘制出网络拓扑图; 提供彩色界面截图证明。交换机列表准入设备后台能够添加及配置网络中可网管（支持snmp或CLI）的交换机，并生成交换机列表，点击列表中的条目能够进入交换机面板视图。交换机查看准入设备后台能够展示网络中可网管交换机的模拟面板，面板中能显示出交换机的各接口状态（up、down、trunk等），以及各接口下联的终端信息（ip地址、mac地址等）。设备自身管理设备接口管理准入设备后台能够查看到设备自身的网络接口状态。设备资源管理准入设备后台能够查看到设备当前使用的准入技术、设备cpu使用曲线图、磁盘和内存使用等状况。设备访问管理准入设备后台必须支持https方式的访问。设备日志管理准入设备支持syslog日志定向输出。第三方接口准入设备后台提供第三方访问接口，第三方系统能够通过准入设备获取到网络中的终端列表、ip信息及违规走势数据等信息。操作员控制准入设备后台配置的安全策略能够设定私有或共享属性,私有策略或规范只能被创建者修改，其他操作员只能查看，防止误操作的发生。管理角色控制准入设备后台至少提供系统管理员、角色管理员、系统审计员*种管理角色，防止单个角色管理者的权限滥用。报表管理安全管理报表*. 准入设备后台提供网络ip地址池图表；*. 准入设备后台提供未关机终端报表；*. 准入设备后台能够按周、月统计安全状况走势图；*. 准入设备后台提供每日入网报告、每周入网报告、每月入网报告；报警提醒准入设备能够以邮件、手机短信、页面消息等多种报警方式提醒管理员各种安全异常状态。★产品资质要求公安部计算机信息系统安全专用产品销售许可证其他★中标后三个工作日内，提供样机进行上述功能要求的逐一测试验证，全部通过后才能执行合同流程。桌面管理系统品牌：选择和网络准入控制系统同一品牌，需要进行客户端联动管理数量：*套（支持***点终端授权）指标项技术性能详细描述（标有“★”的为关键性指标，必须满足）服务器客户端基本性能及要求系统架构基于B/S、C/S混合构架，客户端*层架构，具有较好的系统安全性，管理平台采用WEB方式。支持多级级联架构，满足分级管理要求。要求管理平台使用B/S结构，同时管理员在登录时需要采用随机校验码，以增加系统自身安全性。★客户端通信方式要求客户端不允许开启TCP监听端口，同时要求支持NAT地址转换网络环境，并且能够支持远程控制时客户端也不开启TCP监听端口。 支持管理ADSL拨号的终端接入方式。WEB服务器要求要求使用的WEB应用服务器应该为Apache，并且是专用的Apache服务，不得与其他应用有冲突。若桌面管理系统与准入控制系统采用同一硬件平台，此项不作要求。★客户端性能客户端进程数不能超过*个，正常情况下，客户端CPU占用率大部分时间在*%；内存占用在*M以内。分级资产管理自动设备扫描自动发现接入网络的所有网络设备、主机、桌面PC、其他IP设备；支持混合厂商大规模网络环境；支持跨越路由器、防火墙等复杂环境。支持资产信息自动采集。各计算机的IP地址、计算机名、MAC地址、网卡型号和生产厂商、计算机所在域、操作系统、主要硬件、软件信息；能够提供计算机信息综合查询报表。硬件、软件配置信息变动报警终端硬件、软件资产变更具有报警，在终端第一次注册时把硬软件信息做登记，以后每次作信息的对照。并且可以查询变动的历史。资产统计报表资产统计，对网络内终端的基本情况进行统计。资产报表展现，多种报表展现统计结果，变更情况，终端资产等各种信息。支持XLS、PDF格式，支持报表预览和打印。安全检查及加固安全漏洞和安全规则检查支持检查发现PC的操作系统漏洞；发现PC上是否安装了非法软件；发现PC是否对硬件配置进行改动；发现PC是否安装防病毒软件，检查病毒特征码是否更新；发现PC是否在执行非法进程；支持对口令强度、屏幕保护、文件写共享等检查。★风险评估权重化可以支持安全检查项分值化，对每一项的评估采用数值权重展示，产生对终端电脑的安全性评估风险数值的报表。支持终端安全状况图形化展示，及显示每台终端详细的风险信息。网络安全管理流量异常监控要求支持对系统网络流量的控制，并给出相应的处理方式，包括流量采样策略、流量控制策略。管理员可根据所属单位的具体情况来配置流量采样阈值和并发连接数量，并可查询到流量的排行。同时能够监控客户端的流量异常情况，实现对流量可疑、发包数可疑、并发连接数可疑的客户端进行阻断、提示、上报给上级区域管理器操作。★反ARP欺骗要求能够发现进行ARP欺骗的终端病毒源，并且要求能够对有ARP攻击的终端设备进行隔离。对重点主机的ARP保护，比如网关机器的IP-MAC绑定，也可指定其他机器列表。要去根据本机受到ARP攻击和本机对外进行ARP攻击两种不同情况，分别进行策略控制； ★违规外联违规外联检测及控制要求能够检测出是否违规外联到互联网，或者越权访问另外一个内部涉密网络，能够检查出来是通过代理、双网卡、还是私下拨号的方式。在不需要设置外网地址时就可以很方便检测出结果。USB移动存储介质管理移动存储设备接入管理可以禁止USB移动存储设备的接入。通过设置，保证终端只允许本单位或本地区的USB移动存储设备接入。移动存储设备使用管理对通过USB设备进行的文件拷入、拷出的行为进行审计，记录文件名称和操作时间。可以禁止软盘的接入。对通过软盘、光驱、刻录机进行的文件拷入、拷出的行为进行审计，记录文件名称和操作时间。其他功能要求★远程协助提供网络管理人员通过本地计算机操作远程计算机的功能。可以支持NAT网络环境下的远程控制，实时查看操作进程、服务、通信端口、网络连接、用户权限等等。强大的终端安全策略禁止U盘自动运行、禁止第三方网络联接、禁止指定软件运行、可指网站首页、黑白应用策略、重点进程跟踪策略、异常进程监控策略。补丁管理要求自主研发的补丁管理机制，补丁需要经过测试再全网发布。要求补丁扫描时不影响终端性能，扫描时间在**秒以内。应用安全管理要求展示所有运行进程的一揽表，并且支持可疑进程设置、黑白应用程序包的控制，支持MD*的方式唯一识别应用程序；软件分发能够支持可执行程序、MSI安装包或者文档数据文件自动下发与安装；能够支持指定组范围、指定时间进行安装；提供打包工具，能够判断检测指定程序是否在运行，如果运行则提示系统需要升级提供一个提示对话框如果按确认则将指定程序退出开始安装， 如果选择取消则不安装，如果没运行则马上开始安装。能够提供带参数运行程序包；能够指定执行安装之后是否重启、关闭机器；能够查询软件分发的详情与历史情况；★产品资质要求计算机软件著作权登记证书公安部计算机信息系统安全专用产品销售许可证其他★中标后三个工作日内，提供样机进行上述功能要求的逐一测试验证，全部通过后才能执行合同流程。 （三）质量及售后服务要求：*、项目实施时，中标人不得降低设备的指标要求，不得变更投标时所投产品。中标人如降低指标要求或变更投标产品，采购人有权终止合同，并追究中标人相关责任。*、中标方保证提供的合同设备是“设备清单”所列的原厂原包装产品。所有产品必须配置齐全，包括设备、随机资料、配件、软件以及安装所需的耗材等。所有产品运至海安县财政局指定地点拆箱拆封并接受检验。*、中标方提供的所有设备均为原厂*年免费上门及零配件免费更换服务，质保期自项目验收合格之日起。设备安装、调试等须由原厂工程师上门免费服务，项目经验收合格后，如设备因故障需更换零、部件等，三年内须由原厂商工程师免费上门更换所供设备的所有零、部件，设备所有的软件系统、相关数据库等均须提供三年免费升级。*、质保期内中标方须提供*×**小时服务，*小时内做出响应，*小时内应派专业技术人员到达现场提供免费咨询、维修服务。如属硬件故障原因而且**小时无法排除故障的，则应免费提供同等配置的备用设备以保证用户设备的正常运行。若未能在规定的时间内进行现场响应和解决设备问题的，用户采取一切措施所产生的费用和风险由中标供应商承担。　*、中标方至少每月须上门检查整套系统的运行情况，并能根据用户系统变化情况及时调整优化。*、中标方须按照采购人的要求，在质保期内每年对其技术人员提供相关免费培训，每期不少于两人、每期培训时间不少于二天，使采购方达到能独立使用、维护所购设备的技术能力。（四）交货时间：合同签订后*天内。（五）付款方式：自项目验收合格后一个月内支付合同总额的**%，质保期满后支付余款。（六）其它要求：*.报价人参加本次政府采购活动应当具备《政府采购法》第**条规定之条件。为采购项目提供整体设计、规范编制或者项目管理、监理、检测等服务的供应商，不得再参加该采购项目的其他采购活动。 投标人须提供其****年*月*日以后实施的至少包含“网络准入控制系统”等一个及以上成功案例的合同复印件。*.上述货物均应以人民币报价，金额单位元，报价人所报价格应包括运输、安装、调试、验收等所有费用。且只能有一个报价，不接受有选择的报价。*.报价人提供产品必须是全新的、未使用过的原装合格正品，所有设备应配套使用。*.所提供货物质量必须符合国家相关标准，必须满足本次采购的要求，若所供货物经产品质量检测机构检测认定质量不合格，造成的损失和后果由该供应商负全责。*.供应商必须为交付的所有货物按照国家的相关法规提供免费保修。在产品保修期内，一旦发生质量问题，供应商保证在接到通知工作日的**小时内到现场进行维修、更换或退货，费用由供应商负责。如供应商在接到通知工作日的**小时内没有答复或处理问题，则视为供应商承认质量问题并承担由此而发生的一切费用。保修期间产品的一切质量问题，更换部件及产品本身质量原因造成的直接经济损失应全部由供应商自行负责。二、报价文件的组成及要求：*.营业执照副本复印件、税务登记证复印件、报价单位法人授权委托书；*.所报产品的配置清单；*.售中、售后服务承诺（包括免费质保期承诺等）。*.注明交付使用日期。*.国家规定的应提供的其他资质证明资料。*.报价表（列报报价产品的名称、规格、型号、配置、产地、单价、总价、交货时间及优惠条款等）以及报价单位（盖章）、被授权人、联系电话、报价日期。三、询价文件投递截止时间及地点报价单位应在 ****年**月**日**:** 前，按《报价文件组成》要求编制报价文件一式三份。盖章密封后送达或邮寄至江苏省海安县公共资源交易中心。声明：请务必在邮件封面上注明项目名称及联系人电话等，******一定按时送达，不得让传达室或其他人员转交，因未按时送达、未标注或标注不明确不清楚造成的损失我中心概不负责。 邮件地址：江苏省海安县镇南路***号二楼南侧 收件人：陈凤 王珊珊 电话：****-******** ******** ********(传真)邮编：******四、开标和定标： *.询价小组将对有效的报价文件进行审查，并填写询价采购结论。*.定标条件：在符合询价文件要求的基础上，以总报价最低的供应商作为本次询价采购的成交供应商。对不中标的供应商不作落标说明（未中标单位可自行向我中心或采购单位咨询相关情况）。五、成交及合同签订*.开标后，我中心将以电话或传真的形式通知成交供应商。*.成交供应商应在规定时间内与采购单位联系并签订采购合同，然后到我中心审核确认。未在规定时间内按相关规定签订采购合同的视为自动放弃成交资格。六、特别说明：参加询价的供应商若认为询价文件的资格要求和技术要求有倾向性或不公正性，可在报价截止期前以书面形式向我中心提出。对于没有提出澄清又参与了该项目的谈判供应商将被视为完全认同该询价文件，报价截止期后不再受理针对采购文件的相关投诉。七、询标单位：江苏省海安县公共资源交易中心八、采购单位联系人： 孙翔联系电话： ****-********信息发布网站：http://***.******.***.cn/haggzy ****年 ** 月 * 日